{"id":246571,"date":"2022-07-08T17:38:44","date_gmt":"2022-07-08T19:38:44","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-le-ver-de-raspberry-robin-ciblant-les-utilisateurs-de-windows\/"},"modified":"2022-07-08T17:38:45","modified_gmt":"2022-07-08T19:38:45","slug":"des-chercheurs-mettent-en-garde-contre-le-ver-de-raspberry-robin-ciblant-les-utilisateurs-de-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-le-ver-de-raspberry-robin-ciblant-les-utilisateurs-de-windows\/","title":{"rendered":"Des chercheurs mettent en garde contre le ver de Raspberry Robin ciblant les utilisateurs de Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 attirent l&#8217;attention sur une vague continue d&#8217;attaques li\u00e9es \u00e0 un cluster de menaces suivi sous le nom de Raspberry Robin qui se cache derri\u00e8re un malware Windows dot\u00e9 de capacit\u00e9s de type ver. <\/p>\n<p>Le d\u00e9crivant comme une menace \u00ab persistante \u00bb et \u00ab propag\u00e9e \u00bb, Cybereason <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/threat-alert-raspberry-robin-worm-abuses-windows-installer-and-qnap-devices\" target=\"_blank\">a dit<\/a> il a observ\u00e9 un certain nombre de victimes en Europe.<\/p>\n<p>Les infections impliquent un ver qui se propage sur des p\u00e9riph\u00e9riques USB amovibles contenant un fichier .LNK malveillant et exploite les p\u00e9riph\u00e9riques de stockage en r\u00e9seau (NAS) QNAP compromis pour la commande et le contr\u00f4le.  Il a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par des chercheurs de Red Canary en mai 2022.<\/p>\n<p>Nom de code \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/7095517.fs1.hubspotusercontent-na1.net\/hubfs\/7095517\/FLINT%202022-016%20-%20QNAP%20worm_%20who%20benefits%20from%20crime%20(1).pdf\" target=\"_blank\">Ver QNAP<\/a> par Sekoia, le logiciel malveillant exploite un binaire d&#8217;installation Windows l\u00e9gitime appel\u00e9 &#8220;msiexec.exe&#8221; pour t\u00e9l\u00e9charger et ex\u00e9cuter une biblioth\u00e8que partag\u00e9e (DLL) malveillante \u00e0 partir d&#8217;un appareil NAS QNAP compromis.<\/p>\n<p>&#8220;Pour rendre la d\u00e9tection plus difficile, Raspberry Robin exploite les injections de processus dans trois processus syst\u00e8me Windows l\u00e9gitimes&#8221;, a d\u00e9clar\u00e9 le chercheur de Cybereason, Lo\u00efc Castel, dans un article technique, ajoutant qu&#8217;il &#8220;communique avec le reste de [the] l&#8217;infrastructure via les n\u0153uds de sortie TOR.\u00a0\u00bb<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"263\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657309124_824_Des-chercheurs-mettent-en-garde-contre-le-ver-de-Raspberry.jpg\" \/><\/div>\n<p>La persistance sur la machine compromise est obtenue en apportant des modifications au registre Windows pour charger la charge utile malveillante via le binaire Windows &#8220;rundll32.exe&#8221; lors de la phase de d\u00e9marrage.<\/p>\n<p>La campagne, qui remonterait \u00e0 septembre 2021, est rest\u00e9e un myst\u00e8re jusqu&#8217;\u00e0 pr\u00e9sent, sans aucun indice sur l&#8217;origine de l&#8217;acteur mena\u00e7ant ou ses objectifs finaux.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"317\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657309124_264_Des-chercheurs-mettent-en-garde-contre-le-ver-de-Raspberry.jpg\" \/><\/div>\n<p>La divulgation intervient alors que QNAP a d\u00e9clar\u00e9 qu&#8217;il enqu\u00eatait activement sur une nouvelle vague d&#8217;infections par ran\u00e7ongiciel Checkmate ciblant ses appareils, ce qui en fait la derni\u00e8re d&#8217;une s\u00e9rie d&#8217;attaques apr\u00e8s <a rel=\"nofollow noopener\" href=\"https:\/\/www.qnap.com\/en-in\/security-advisory\/qsa-20-06\" target=\"_blank\">AgeLocker<\/a>eCh0raix et DeadBolt.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;L&#8217;enqu\u00eate pr\u00e9liminaire indique que Checkmate attaque via <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Server_Message_Block\" target=\"_blank\">Services aux PME<\/a> expos\u00e9s \u00e0 Internet et utilise une attaque par dictionnaire pour casser les comptes avec des mots de passe faibles \u00bb, la soci\u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.qnap.com\/en\/security-advisory\/QSA-22-21\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans un avis.<\/p>\n<p>&#8220;Une fois que l&#8217;attaquant s&#8217;est connect\u00e9 avec succ\u00e8s \u00e0 un appareil, il chiffre les donn\u00e9es dans les dossiers partag\u00e9s et laisse une demande de ran\u00e7on avec le nom de fichier &#8221;\u00a0!CHECKMATE_DECRYPTION_README&#8221; dans chaque dossier.&#8221;<\/p>\n<p>Par pr\u00e9caution, la soci\u00e9t\u00e9 ta\u00efwanaise recommande aux clients de ne pas exposer les services SMB \u00e0 Internet, d&#8217;am\u00e9liorer la force du mot de passe, d&#8217;effectuer des sauvegardes r\u00e9guli\u00e8res et de mettre \u00e0 jour le syst\u00e8me d&#8217;exploitation QNAP vers la derni\u00e8re version.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/researchers-warn-of-raspberry-robins.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 attirent l&#8217;attention sur une vague continue d&#8217;attaques li\u00e9es \u00e0 un cluster de menaces suivi sous le nom de Raspberry Robin qui se cache derri\u00e8re un malware Windows dot\u00e9 de capacit\u00e9s de type ver. Le d\u00e9crivant comme une menace \u00ab persistante \u00bb et \u00ab propag\u00e9e \u00bb, Cybereason a dit il a observ\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":246572,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4175,4168,841,4158,4165,4161,133,525,4157,4159,4171,4170,65,4167,3915,4160,4163,4162,42956,4792,4172,4169,7529,23248,4166,4164,45020],"class_list":["post-246571","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mettent","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-raspberry","tag-robin","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-ver","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/246571","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=246571"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/246571\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/246572"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=246571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=246571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=246571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}